O centro de pesquisa de ameaças da Kaspersky identificou um novo trojan de roubo de dados chamado SparkCat, com potencial para roubar criptomoedas e está ativo na App Store e no Google Play desde pelo menos março de 2024.
De acordo com o relatório, essa é a primeira vez que um malware baseado em reconhecimento óptico de caracteres (OCR) aparece na loja de aplicativos da Apple.
Conforme explicou a Kaspersky, o SparkCat utiliza inteligência artificial (IA) para analisar imagens na galeria dos usuários e roubar frases de recuperação de carteiras de criptomoedas, além de outros dados sensíveis, como senhas.
A Kaspersky informou que já notificou Google e Apple sobre os aplicativos maliciosos identificados.
Como o malware se espalha
O SparkCat está se disseminando por meio de aplicativos legítimos infectados e iscas. A lista inclui mensageiros, assistentes de IA, serviços de entrega de comida e aplicativos relacionados a criptomoedas.
Confira nossas sugestões de Pre-Sales para investir agora
Algumas dessas aplicações estão disponíveis no Google Play e na App Store. Mas fontes não oficiais de aplicativos também estão distribuindo as aplicações maliciosas.
De acordo com a Kaspersky, apenas no Google Play, já houve mais de 242.000 downloads dos aplicativos infectados.
Quem está sendo alvo
O malware ataca principalmente usuários nos Emirados Árabes Unidos, Europa e Ásia. O SparkCat é capaz de analisar imagens em vários idiomas, incluindo português, chinês, japonês, coreano, inglês, tcheco, francês, italiano e polonês. No entanto, especialistas alertam que usuários de outras regiões também podem estar vulneráveis.
Depois de instalado, o malware solicita acesso à galeria de imagens do dispositivo e utiliza um módulo de OCR para analisar o texto contido nas capturas de tela e fotos armazenadas. Caso identifique palavras-chave relacionadas a frases de recuperação de carteiras de criptomoedas, o app envia as imagens para os invasores, permitindo que assumam o controle dos ativos digitais da vítima.
Os criminosos estão utilizando redes neurais e aprendizado de máquina para aprimorar suas ferramentas maliciosas. No caso do SparkCat, o módulo para Android descriptografa e executa um plugin de OCR usando a biblioteca Google ML Kit para reconhecer textos em imagens armazenadas. A versão para iOS emprega um método semelhante.
Medidas de proteção
A Kaspersky afirma que suas soluções de segurança já detectam e bloqueiam o malware SparkCat, identificando-o como HEUR:Trojan.IphoneOS.SparkCat. e HEUR:Trojan.AndroidOS.SparkCat.**.
Para evitar ser vítima desse ataque, a empresa recomenda:
- Excluir aplicativos infectados do dispositivo e aguardar atualizações que removam a funcionalidade maliciosa;
- Evitar armazenar capturas de tela com informações sensíveis, incluindo frases de recuperação de carteiras de criptomoedas;
- Utilizar gerenciadores de senhas para armazenar credenciais com segurança;
- Instalar softwares de segurança confiáveis para detectar ameaças e impedir infecções.
Um relatório detalhado sobre a campanha SparkCat está disponível no Securelist, portal de análise de ameaças da Kaspersky.
